ランダム MAC(RCM)

 

この記事は、Enterprise Networking Group の Engineering Technical Leader である Seema Nayak によるブログ「Randomized and Changing MAC (RCM)」(2022/3/14)の抄訳です。

 

ランダム MAC(RCM:Randomized & Changing MAC)とは

ワイヤレスクライアントは従来、ワイヤレス ネットワーク インターフェイス カード(NIC)に関連付けられている MAC アドレスを使用してワイヤレスネットワークにアソシエートしてきました。製造元が割り当てるこの MAC アドレスはグローバルに一意であり、BIA(Burn-in Address)とも呼ばれます。この BIA をあらゆる場所で使用しているとプライバシーの問題が発生します。Wi-Fi の MAC アドレスでエンドユーザーを追跡できてしまうからです。これは通常の MAC(アドレス)であり、ここで説明するランダム MAC(アドレス)とは異なります。

各種オペレーティングシステム(Apple iOS 14、Android 10、Windows 10)では、エンドユーザーのプライバシーを向上させるために、ローカルに管理された MAC アドレス(LAA)を使用できるようになっています。これは Wi-Fi 接続用のランダム MAC アドレスとも呼ばれます。ワイヤレスエンドポイントがランダム MAC アドレスに関連付けられている場合、エンドポイントの MAC アドレスは時間とともに変化します。

従来、ランダム MAC アドレスは既知のワイヤレスネットワークのプローブに用途が限定されていましたが、今ではワイヤレスネットワークへのアソシエーションにも使用されるようになっています。これはエンドユーザーのプライバシーの観点ではよいことですが、これまでポリシーを実施するための基礎として固有のエンドポイント ID を使用してきた企業の IT 管理者は独自の課題を抱えることになりました。また、ゲスト、BYOD(個人所有デバイス持込)、位置情報分析など、MAC アドレスの一意性に依存しているさまざまな Wi-Fi 展開モデルにも影響を与えています。

シスコでは、ランダム MAC アドレスを既存のワイヤレス環境で使用した場合に発生する問題への対応策および緩和策として、RCM ソリューションを提供しています。

図 1:シスコの RCM ソリューション

 

ランダム MAC の識別とクライアントアクセス

シスコのソリューションではランダム MAC が使用されていることが識別され、可視性も提供されます。そのため、WLC や Cisco DNA Center で簡単に問題を検出し、トラブルシューティングを行うことができます。

Cisco Catalyst 9800 では、ユニバーサルに管理されたアドレス(BIA)またはローカルに管理されたアドレス(RCM)を使用してネットワーク上のデバイスが分類されます。これは、管理者が両方の MAC アドレスを識別するうえで役立ちます。ランダム MAC アドレスであるかどうかは、MAC アドレスの OUI の部分にあるビットを見れば分かります。このビットが 1 に設定されていればローカルに管理されたアドレスです。下の図は、ローカルに管理された MAC アドレスの識別方法を示しています。

図 2:ランダム MAC の識別

また Cisco 9800 ワイヤレスコントローラでは、Wi-Fi ネットワークに参加するクライアントを RCM アドレスを使用して制御する機能も提供されています。この制御機能は RCM クライアントを許可/拒否する設定オプションを通じて使用できます。この設定を有効にすると、RCM(ランダム MAC、つまりローカルに管理された MAC アドレス)を使用しているクライアントはそのワイヤレスネットワークに参加できなくなります。

 

MDM(モバイルデバイスマネージャ)/ISE BYOD の統合

MDM ソリューションは、デバイスの MAC アドレスがランダムで変わってしまう場合に固有のデバイス ID を提供します。通常、エンドポイントがランダム MAC アドレスを使用してネットワークに接続すると、MDM コンプライアンスチェックなどのセキュリティ制御が失敗します。これは、ランダム MAC アドレスがデバイス ID として認識されないためです。シスコのソリューションは、DUID(デバイスの固有 ID)ソリューションである EAP-TLS に基づいてデバイスに固有の ID を提供します。

  • MDM(モバイルデバイスマネージャの略で、単にデバイスマネージャとも呼ばれる)と、企業インフラでデバイスを管理する統合エンドポイントマネージャ(MS Intune、Mobile Iron など)を使用したソリューションです。
  • ISE は、デバイスの固有 ID(DUID)に基づく証明書を使用してデバイスをプロビジョニングする機能を提供します。
  • デバイスは TLS ベースの認証でこの証明書を提示します。ISE がデバイスを許可して証明書から固有の ID を読み取ります。
  • デバイスの固有 ID(DUID)を使用して MDM サーバーでコンプライアンスチェックが行われます。またエンドポイントテーブルにデバイスの固有識別子が格納されます。
  • デバイスには証明書の ID を使用した DUID が割り当てられているため、ランダム MAC を使用していても問題はありません。
  • ISE は DUID とランダム MAC のマッピングを保持しており、次の 2 つの方法でこの情報を共有できます。
    ・pxGrid を通じてセッション情報の一部として共有。Cisco DNA Center は pxGrid サブスクライバとして機能。
    ・WLC が VSA access-acceptの一部として ISE からクライアント情報を取得。この情報が Cisco DNA Center に送信される。

図 3:デバイスの固有 ID に基づく MDM のフロー

BYOD ワークフローの一部として、これと同じユースケースを ISE を通じて実装することができます。ISE は BYOD プロセスで DUID を生成できるからです。

 

DNA Center を使用した RCM の確認、トラブルシューティング、使用状況の追跡

図 4:RCM クライアントを表示する DNA Center のダッシュボード

ネットワーク内でランダム MAC が使用されているデバイスの追跡やトラブルシューティング、確認には Cisco DNA Center を使用することができます。Cisco DNA Center では、ランダム MAC アドレスを使用しているデバイスの MAC アドレスの前に、RCM を表す新しいアイコンが表示されるようになりました。フィルタリング機能を使用して RCM アドレスのデバイスを絞り込むことで、ネットワーク内の RCM クライアントの数を追跡できます。

上図は Cisco DNA Center の画面ですが、フィルタリングされた RCM クライアントが表示されています。この画面で確認、追跡、トラブルシューティングを行えます。

下図も Cisco DNA Center の画面(Client 360 ページ)です。クライアントの DUID とランダム MAC アドレスのほか、関連付けられている別の MAC アドレスを確認できます。

図 5:RCM クライアントの詳細ビュー(DNA Center の Client 360 ページ)

図 6:RCM クライアントの詳細情報(DNA Center)

また、ランダム MAC でネットワークに参加できなかったためにネットワークにアソシエーションされていないクライアントがあるかどうかも Cisco DNA Center で確認できます。その例を下のクライアント画面に示します。

図 7:RCM クライアントのアソシエーションが失敗したことを示す DNA Center の画面

 

ランダム MAC ソリューションの未来

シスコは IETF と協力して、ネットワークサービスやアプリケーションサービスで MAC アドレスによるデバイス識別を促進するための公式ワーキンググループを設立する予定です。

詳細については、以下をご覧ください

ランダム MAC 導入ガイド

 

執筆協力Sarath Gorthi Subrahmanya(エンジニアリング プロダクト マネージャ)

 

鈴木 美香

2001 年シスコシステムズに入社。関西エリアの顧客担当SEを長く経験した後、現在は無線 LAN 専任の SE として、アクセスポイントや無線 LAN コントローラ、運用管理ソリューション、ロケーション分析まで、幅広い無線 LAN 製品のプリセールスおよびパートナー様のサポートに従事。プライベートでは、毎週末に演劇やダンス、バレエを見に行くのを楽しみにしています。